ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security
|
|
- Aureliana Basile
- 8 anni fa
- Visualizzazioni
Transcript
1 ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security Management Ottobre 2009
2 Copyright e utilizzo dei contenuti I Report non potranno essere oggetto di diffusione, riproduzione e pubblicazione, anche per via telematica (ad esempio tramite siti web, intranet aziendali, ecc), e ne viene espressamente riconosciuta la piena proprietà del DIG - Dipartimento di Ingengeria Gestionale del Politecnico di Milano. La violazione di tale divieto comporterà il diritto per il DIG di ottenere il risarcimento del danno da illecito utilizzo, ai sensi di legge. Indice pagina Introduzione di Umberto Bertelè e Andrea Rangone 7 Executive Summary di Paolo Maccarrone e Luca Marzegalli 9 1. La rilevanza dell ICT Security 13 La governance strategica dell ICT Security 14 Il punto di vista dei Chief Information Officer L ICT Risk Analysis: approcci e metodologie 25 Un framework di riferimento per la categorizzazione delle attività di ICT Risk Analysis 25 Le principali evidenze del settore Banking 29 Oltre il Banking: i risultati degli altri settori L ICT Security e l Enterprise Risk Management nel Banking: 49 un rapporto in continua trasformazione Il nuovo approccio al Risk Management 49 L integrazione tra ICT Security ed Enterprise Risk Management: i risultati della Ricerca 52 Nota metodologica 59 Il Gruppo di Lavoro 63 La School of Management 65 La School of Management del Politecnico di Milano 65 Gli Osservatori ICT & Management 65 L ICT Institute 67 I sostenitori della Ricerca 69 1
3
4 Indice Figure pagina Figura 1.1 L ICT Security governance 15 Figura 1.2 La presenza e il posizionamento del responsabile dell ICT Security 17 all interno dell organigramma aziendale Figura 1.3 Il dimensionamento dell unità ICT Security 17 Figura 1.4 La stabilità del modello organizzativo inerente l ICT Security 18 Figura 1.5 Gli input per l individuazione delle iniziative di sicurezza ICT 18 Figura 1.6 Le unità organizzative maggiormente coinvolte nell individuazione delle 19 iniziative di ICT Security Figura 1.7 Il ricorso a un processo formale di pianificazione strategica delle iniziative 19 in ambito ICT Security (Master Plan ICT/Information Security) Figura 1.8 Il ricorso ad approcci strutturati di Risk Analysis/Risk Management per la 20 definizione delle iniziative Figura 1.9 La percentuale del budget di ICT Security in relazione al budget 20 complessivo ICT Figura 1.10 I trend del budget di ICT Security 21 Figura 1.11 La diffusione dei sistemi di misurazione delle prestazioni specifici per 21 l ICT Security Figura 1.12 I principali fattori critici di successo nella gestione dei progetti di ICT Security 22 Figura 2.1 Il framework di riferimento I fattori caratterizzanti l orizzonte di analisi 26 Figura 2.2 Il framework di riferimento Le variabili di configurazione dell analisi 28 Figura 2.3 Le tipologie di ICT Risk Analysis nel Banking 30 Figura 2.4 Le tipologie di ICT Risk Analysis nel Banking: il confronto CIO/CISO 30 Figura 2.5 Le finalità prevalenti per le ICT Risk Analysis nel Banking 31 Figura 2.6 Le finalità: il dettaglio della stima delle perdite 31 Figura 2.7 Le finalità prevalenti per le ICT Risk Analysis nel Banking Il confronto 32 CIO/CISO Figura 2.8 L ambito di copertura delle ICT Risk Analysis nel Banking 32 Figura 2.9 I requisiti di sicurezza considerati nelle ICT Risk Analysis nel Banking 33 Figura 2.10 Il quadro sinottico dei fattori caratterizzanti l orizzonte delle ICT Risk 33 Analysis nel Banking Figura 2.11 La tipologia di input su cui sono basate le ICT Risk Analysis nel Banking 34 Figura 2.12 Il flusso logico che caratterizza le ICT Risk Analysis nel Banking 34 Figura 2.13 Il flusso logico che caratterizza le ICT Risk Analysis nel Banking il 34 confronto CIO/CISO Figura 2.14 Gli attori coinvolti nel processo di ICT Risk Analysis nel Banking 35 Figura 2.15 Gli attori coinvolti nel processo di ICT Risk Analysis nel Banking il 35 confronto CIO/CISO Figura 2.16 Le fonti di input utilizzate per le ICT Risk Analysis nel Banking 36 Figura 2.17 Le tipologie di strumenti informatici utilizzati per le ICT Risk Analysis nel 36 Banking Figura 2.18 Il quadro sinottico delle variabili di configurazione delle ICT Risk Analysis 37 nel Banking Figura 2.19 La frequenza di cambiamento della metodologia utilizzata per le ICT Risk 38 Analysis nel Banking Figura 2.20 L utilizzo di semilavorati comuni per diverse metodologie di ICT Risk 38 Analysis nel Banking Figura 2.21 Le tipologie di ICT Risk Analysis 40 3
5 Figura 2.22 Le finalità prevalenti per le ICT Risk Analysis 41 Figura 2.23 L ambito di copertura delle ICT Risk Analysis 41 Figura 2.24 I requisiti di sicurezza considerati nelle ICT Risk Analysis 42 Figura 2.25 Il quadro sinottico dei fattori caratterizzanti l orizzonte dell ICT Risk Analysis 42 Figura 2.26 La tipologia di input su cui sono basate le ICT Risk Analysis 43 Figura 2.27 Il flusso logico che caratterizza le ICT Risk Analysis 44 Figura 2.28 Gli attori coinvolti nel processo di ICT Risk Analysis 44 Figura 2.29 Le fonti di input utilizzate per le ICT Risk Analysis 45 Figura 2.30 Le tipologie di strumenti informatici utilizzati per le ICT Risk Analysis 46 Figura 2.31 Il quadro sinottico delle variabili di configurazione dell ICT Risk Analysis 46 Figura 2.32 La frequenza di cambiamento della metodologia utilizzata per le ICT Risk 47 Figura 2.33 Analysis L utilizzo di semilavorati comuni per le diverse metodologie di ICT Risk 48 Figura 3.1 Analysis Le differenze tra approccio tradizionale ed ERM 50 Figura 3.2 Il rischio ICT all interno del rischio operativo in base al modello di Basilea 2 51 Figura 3.3 Il livello di interazione tra l ICT Security e l Enterprise Risk Management 52 Figura 3.4 nella definizione del modello di valutazione del rischio ICT Il livello di coinvolgimento dell ERM nella definizione delle metodologie di 53 Figura 3.5 Risk Analysis utilizzate dall ICT Security La tipologia di informazioni fornite dall ICT Security all ERM per la 53 Figura 3.6 valutazione dei rischi complessivi d impresa La visibilità dell ICT Security sul processo di valutazione dei rischi 54 Figura 3.7 aziendali complessivi effettuato dall ERM L influenza delle valutazioni dei rischi ICT a livello di ERM nella scelta 54 Figura 3.8 delle priorità di intervento per la mitigazione dei rischi ICT La percezione dei CISO sull importanza che viene attribuita dal Top 55 Figura 3.9 Management ai rischi ICT all interno del quadro generale dei rischi aziendali Il punto di vista sul livello di overlapping tra ERM e Basilea
6 Indice Box pagina Box 1.1 Credem 22 Box 1.2 Intesa Sanpaolo 22 Box 2.1 Credi Suisse 38 Box 2.2 Deutsche Bank 39 Box 3.1 Le specificità dell Enterprise Risk Management nel settore bancario: Basilea 2 50 Box 3.2 UniCredit Group 57 5
7
8 Introduzione Giunto al suo secondo anno di vita, l Osservatorio Information Security Management, istituito e portato avanti congiuntamente dalla School of Management e dall ICT Institute del Politecnico di Milano, si presenta quest anno ancor più ricco di contenuti. In affiancamento all analisi di oltre 15 casi del settore bancario, da sempre attento alla tematica dell Information Security, la ricerca di quest anno ha previsto due Survey, coinvolgendo più di un centinaio tra Chief Information Officer, Chief Information Security Officer e Risk Manager. Gli obiettivi dell Osservatorio, in linea con la missione di tutti gli Osservatori ICT & Management di diffondere cultura e best practice sull uso strategico dell ICT, sono di: analizzare e comprendere criticamente lo stato dell arte dell information security, con particolare riferimento ai trend e alle best practice emergenti in termini organizzativo-gestionali e ai fabbisogni, espressi e inespressi, delle imprese; costituire il punto di riferimento per la community di attori (studiosi, consulenti, imprese) interessati a promuovere lo sviluppo strategico dell information security nelle imprese. Tra i principali risultati di quest anno c è sicuramente l aver analizzato a fondo l ICT Risk Analysis, definendo un framework di riferimento che possa essere di supporto al management per una pianificazione efficace degli interventi in ambito ICT Security, nonché l aver approfondito la complessa relazione tra ICT Security ed Enterprise Risk Management, mettendo in luce le soluzioni organizzative emergenti ed evidenziandone opportunità e rischi. Sempre più, infatti, l ICT Security va oggi pensata e gestita come un elemento trasversale dell organizzazione e una leva strategica che può avere un impatto rilevante sulle strategie dell impresa. Umberto Bertelè Andrea Rangone 7
9
10 Executive Summary Gli obiettivi della Ricerca Nel corso del primo anno di attività l Osservatorio Information Security Management aveva affrontato il tema della governance strategica dell ICT Security, ovvero l insieme di soluzioni organizzative e processi atti a garantire: una strategia di ICT Security ben definita e collegata agli obiettivi di business, nonché a quelli dell ICT; una struttura organizzativa congruente con gli obiettivi, la tipologia di attività e il carico di lavoro previsto; sistemi di pianificazione adeguati; metodologie di Risk Analysis/ Management appropriate; policy di alto livello ben strutturate, che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente l ICT Security; processi di monitoraggio e controllo che assicurino feedback tempestivi sullo stato di implementazione dei programmi e sulla loro efficacia, in modo da consentire di attuare le opportune manovre correttive in itinere, qualora necessario; sistemi di apprendimento (knowledge management) che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure e, quindi, una costante riduzione del livello di rischio complessivo, nell ottica del continuous improvement. Riclassificando e riaggregando gli elementi sopra elencati, è possibile individuare tre macro-categorie fondamentali di leve progettuali dell ICT Security governance, e precisamente: l organizzazione, intesa nell accezione di configurazione macro-organizzativa che consenta di mettere in atto i programmi strategici e di gestire l operatività, nonché modalità di definizione e aggiornamento delle politiche, modalità di gestione dei progetti, definizione del processo di miglioramento continuo; i processi di pianificazione e controllo; le risorse, le competenze e la cultura organizzativa. In continuità con il focus della Ricerca 2008, quest anno le attività sono state articolate in due fasi distinte. In particolare, è stata svolta una prima indagine con l obiettivo di monitorare il grado di maturità dei sistemi di governance strategica nelle imprese italiane e di evidenziare eventuali significative evoluzioni rispetto a quanto emerso dalla Ricerca dello scorso anno. La seconda parte della Ricerca si è invece focalizzata sul tema dell ICT Risk Analysis, che dall analisi svolta lo scorso anno era risultata uno delle principali punti critici della governance strategica dell ICT Security. In particolare, si è inteso analizzare: l ICT Risk Analysis: il focus è stato quel- lo di verificare la numerosità di Risk Analysis svolte dalle imprese nell ambito dell ICT Security, di elaborare una tassonomia dei diversi approcci sulla base di un insieme di variabili descrittive, nonché di mettere in relazione l utilizzo e la diffusione di tali approcci a variabili di contesto; il rapporto tra ICT Security ed Enterprise Risk Management (ERM): in particolare, l analisi ha riguardato il livello di interazione e di coordinamento tra l unità ICT Security e l unità che si occupa della gestione del rischio a livello integrato d impresa. In particolare, si è cercato di capire: quali siano le informazioni che l ERM richiede all ICT Security ai fini della valutazione dell esposizione complessiva al rischio dell impresa; quale sia il livello di visibilità che l ICT Security ha su tale pro- 9
11 Executive Summary cesso di valutazione integrata dei rischi (con riferimento sia alle metodologie sia ai risultati); se i risultati delle analisi svolte dall ERM costituiscano o meno un input in sede di pianificazione delle iniziative di ICT Security. Vista la complessità e le peculiarità settoriali che caratterizzano queste tematiche, si è scelto di focalizzare le attività di ricerca sul settore bancario, al fine di consentire un analisi sufficientemente approfondita e completa. La governance strategica dell ICT Security: lo stato dell arte Questa fase della Ricerca è stata finalizzata a fare il punto con i Chief Information Officer (CIO) sullo stadio di maturità della governance strategica dell ICT Security. I risultati di questa indagine mettono in luce una realtà caratterizzata da un certo livello di eterogeneità e in continua evoluzione. In particolare, per quanto concerne il posizionamento dell unità di ICT Security all interno dell organigramma aziendale, nella maggioranza delle imprese rispondenti il responsabile di tale unità è un primo riporto del CIO (una percentuale sicuramente importante, e in crescita rispetto al passato). Nel contempo, in ben il 19% dei casi tale figura non è nemmeno presente nell organigramma (né, in molti casi, è previsto il suo inserimento a breve). Altrettanto variegata appare la situazione per ciò che concerne la dimensione dell unità di ICT Security all interno della Direzione ICT: se la maggioranza dei rispondenti dichiara che l organico è composto da una persona, vi è anche un 14% di imprese in cui la dimensione supera le 10 unità. Va sottolineato altresì che la maggioranza delle imprese (precisamente il 53%) ha modificato nell ultimo anno l assetto organizzativo dell ICT Security o ritiene di farlo nel prossimo futuro, a riprova del fatto che si è ben lontani dall aver raggiunto una situazione di equilibrio. Questo dato conferma i risultati emersi nel corso del primo anno di Ricerca sull evoluzione dei modelli organizzativi dell ICT Security. Per quanto concerne gli aspetti legati ai processi di pianificazione e controllo, si conferma la crescente pervasività dell ICT Security, tant è che gli input per l individuazione delle iniziative sono di natura molto diversa e provengono da numerose unità organizzative (ICT, ovviamente, ma anche Corporate Security, Internal Audit, Organizzazione, Risorse Umane, Business Unit, ecc.). A questa estrema varietà delle fonti di input non corrisponde sempre un processo di pianificazione sufficientemente strutturato: solo poco più di un terzo delle imprese infatti redige sistematicamente un piano strategico completo, che include tutte le attività riconducibili alla sicurezza informatica. Un altro terzo delle imprese dichiara di farlo solamente per i progetti più rilevanti, mentre il 3 dei CIO non elabora alcun documento di pianificazione di questo tipo. Da questo punto di vista non sembra che le imprese abbiano fatto molti passi avanti rispetto al recente passato: questo rimane a nostro avviso un elemento di criticità piuttosto rilevante. Nella definizione delle priorità di intervento le imprese dichiarano di fare ricorso largamente alla Risk Analysis, anche se non sempre in modo sistematico, e non sempre (o non esclusivamente) nell ambito della fase di pianificazione annuale. Meno eclatante appare il quadro con riferimento alla diffusione dei sistemi di misurazione delle prestazioni di tipo direzionale nell ambito dell ICT Security: solo un quarto delle imprese rispondenti ha dichiarato di avere sviluppato e di utilizzare questo tipo di strumentazione, mentre un altro 2 circa afferma che, pur non avendo un sistema dedicato all ICT Security, alcuni KPI relativi a quest area sono inseriti in sistemi di più alto livello (per esempio, sistemi di performance management a livello di ICT) Infine, i dati relativi al budget allocato all ICT Security confermano che, nonostante questo momento di crisi economica, nella maggioranza dei casi non è prevista una contrazione delle risorse dedicate a quest area (risorse che si attestano nella maggioranza dei casi tra l 1 e il 5% del budget totale dell ICT). Questo può essere un segnale della crescente importanza attribuita a quest area, anche se va detto che in molti casi buona parte del budget è legato a iniziative di compliance a nuove normative, quindi, di fatto, non discrezionale. 10
12 Executive Summary Gli approcci alla Risk Analysis nell ambito dell ICT Security Vista l estrema varietà ed eterogeneità delle attività di ICT Risk Analysis condotte dalle aziende, è stato necessario innanzitutto definire un framework che supportasse la classificazione delle diverse tipologie di analisi e metodologie utilizzate. Tale framework intende anche essere di supporto ai manager (Chief Information Security Officer (CISO) in primis) sia per finalità di benchmarking sia nella fase di definizione degli approcci da adottare nei diversi ambiti di applicazione. Il framework ha identificato tre macro categorie di ICT Risk Analysis ricorrenti, riconducibili alle attività di Progettazione nuove iniziative, Disaster recovery e Adempimenti normativi, sulla base del confronto tra letteratura e risultati delle interviste con i CISO. Tale macro classificazione, però, non è sufficiente per identificare l attività svolta, in quanto anche all interno della stessa macrocategoria possiamo trovare approcci molto diversificati. Per tale motivo, il framework proposto prende in considerazione sia alcuni fattori che caratterizzano l orizzonte di riferimento di una specifica ICT Risk Analysis, sia le variabili di configurazione che definiscono la specifica metodologia utilizzata. In particolare, dalle interviste effettuate i principali fattori caratterizzanti l orizzonte di un ICT Risk Analysis risultano essere le Finalità, l Ambito e i Requisiti considerati. Per quanto invece concerne le variabili di configurazione della metodologia, fattori chiave risultano essere gli Input types, il Flusso logico, gli Attori, gli Input sources e gli Strumenti utilizzati. Sulla base del framework definito si è proceduto ad analizzare in un primo momento il settore Banking, storicamente il più sensibile al tema della sicurezza, e successivamente altri settori di interesse, quali: Assicurativo, Automotive, Chimico e Farmaceutico, ICT e Telecomunicazioni, Utility. Con riferimento al Banking, dalla Ricerca svolta emerge una copertura pressoché totale delle tre macro categorie di analisi individuate, che vengono condotte da almeno due terzi dei casi analizzati, con un picco del 9 per la categoria Adempimenti normativi. Per quanto concerne i fattori caratterizzanti l orizzonte dell ICT Risk Analysis, si evidenzia come vi sia notevole eterogeneità anche all interno della stessa macrocategoria. Ad esempio, per quanto concerne le finalità delle analisi, nel caso dell analisi ai fini del Disaster recovery il panel si è distribuito in maniera omogenea tra le Stime di perdita e l Identificazione di contromisure. L indagine ha anche mostrato come non è sempre scontato che i requisiti di Confidenzialità, Integrità e Disponibilità siano tutti parte dell analisi, ma che invece in talune occasioni vengano effettuate analisi molto mirate su uno o un paio di requisiti, tralasciando gli altri. Per quanto concerne le variabili di configurazione dell ICT Risk Analysis si può notare come molte di esse risultino essere trasversali alle tre macro categorie identificate: per esempio, per quanto riguarda l orizzonte temporale di analisi ( gli scenari ), tutte le analisi tendono a focalizzarsi sull AS IS (ovvero lo stato in essere al momento in cui viene svolta l analisi), più che analizzare serie storiche o effettuare previsioni su scenari futuri. Similmente, si registra un utilizzo molto diffuso di strumenti di sviluppati ad hoc e basati sulla suite office a supporto dell implementazione dell analisi, mentre risultano poco utilizzate le soluzioni commerciali. A questo proposito, le indicazioni emerse dalle interviste fanno trasparire un elevata attenzione a contenere la complessità delle attività di ICT Risk Analysis. Ulteriori informazioni analizzate sono la frequenza di cambiamento della metodologia utilizzata, dove emerge una sostanziale stabilità, e la possibilità di riutilizzo di semilavorati comuni per le diverse tipologie di ICT Risk Analysis, opportunità che appare sfruttata piuttosto sporadicamente, probabilmente per le indubbie difficoltà connesse. Per quanto riguarda gli altri settori analizzati (Automotive, Assicurativo, Chimico e Farmaceutico, ICT e Telecomunicazioni, Utility), un primo dato interessante è che, contrariamente a quanto avviene nel Banking, la Risk Analysis non è diffusa in tutte le tre macro categorie identificate. In particolare in tutti i settori appare molto ricorrente l analisi effettuata per Adempimenti normativi. Nei settori Chimico e Farmaceutico e Utility, in- 11
13 Executive Summary vece, non appare diffuso l utilizzo della Risk Analysis per Progettazione nuove iniziative. Per quanto riguarda i fattori caratterizzanti l orizzonte dell ICT Risk Analysis, non si evidenzia, rispetto al settore Banking, uno scostamento così ampio come forse ci si poteva aspettare a priori. Per quanto concerne le variabili di configurazione dell ICT Risk Analysis, invece, vi sono alcune significative differenze, con riferimento in particolare al flusso logico dell analisi (trasversalmente sulle tre macro categorie di Risk Analysis), nonché a diversi elementi metodologici delle analisi finalizzate alla Progettazione nuove iniziative. Si riscontra inoltre un elevata frammentazione degli approcci. Sicuramente il quadro che ne emerge conferma l interesse e l importanza dell ICT Risk Analysis e testimonia come probabilmente sia ancora necessaria una certa maturazione, legata all acquisizione di maggiore esperienza in questo ambito, prima di poter giungere all identificazione di una terminologia univoca e di approcci comuni (almeno a livello di industry). Il rapporto tra ICT Security ed Enterprise Risk Management I risultati della Ricerca evidenziano che l interazione tra ICT Security ed Enterprise Risk Management nella maggioranza delle banche analizzate è ancora piuttosto limitata: oltre il 5 dei CISO rispondenti ha infatti affermato che i momenti di dialogo e di collaborazione sono di natura occasionale, e comunque non sistematici. Scendendo più nel dettaglio, l ERM appare relativamente poco coinvolta nella scelta delle metodologie utilizzate dall ICT Security per le analisi dei rischi finalizzate alla definizione delle priorità di intervento: solo in un quarto dei casi partecipa attivamente alla definizione delle metodologie, mentre nella maggioranza dei casi ha un ruolo puramente consultivo. Di converso, l ICT Security non sembra avere un ruolo particolarmente rilevante nel processo di valutazione del livello di esposizione complessiva al rischio effettuata dall ERM. In molti casi si limita a fornire dei dati grezzi, che poi l ERM elabora al suo interno, e spesso l ICT Security non ha visibilità né sulle logiche e le metodologie utilizzate per l elaborazione dei dati, né sui risultati. Inoltre, solo in poco più della metà dei casi i risultati delle analisi svolte dall ERM hanno un impatto sulle definizioni delle priorità di intervento in ambito ICT Security, mentre un terzo dei rispondenti ha dichiarato che non vi è alcun feedback di questo tipo. In conclusione, fatta eccezione per alcuni casi di eccellenza, si ha l impressione che vi sia un certo scollamento tra questi due mondi. A nostro avviso, è però opportuno che l ICT Security eviti il rischio di isolamento e cerchi il più possibile un dialogo proficuo con l ERM, in quanto solo in questo modo si può essere sicuri che venga data la giusta importanza al rischio ICT e che questo venga valutato con metodologie appropriate. Questo non può che aumentare la visibilità delle attività di ICT Security, accrescerne la rilevanza strategica agli occhi del Top Management, con un probabile effetto positivo anche sulle risorse allocate a queste attività. Paolo Maccarrone Luca Marzegalli 12
14 1. La rilevanza dell ICT Security L informazione rappresenta certamente una risorsa di fondamentale importanza per le imprese: basti pensare alle organizzazioni in cui i dati rappresentano il vero e proprio core business (è il caso del settore bancario, finanziario, assicurativo, oltre ovviamente alle telecom companies e alle aziende produttrici di software). Ma, anche laddove l output dell impresa non sia in tutto o in parte digitalizzato, le informazioni rappresentano comunque una risorsa critica per il corretto ed efficiente svolgimento dei processi aziendali. È quindi facile evincere come la distruzione, la compromissione o l accesso non autorizzato al patrimonio informativo aziendale possa causare ingenti danni al business, fino a comprometterne la sopravvivenza stessa. L ICT Security, generalmente considerata come una parte dell Information Security, vede il proprio focus sulla protezione di tutte le informazioni gestite dai Sistemi Informativi e trasmesse attraverso le reti aziendali. Questa definizione include: la protezione degli asset fisici in cui le informazioni vengono custodite (sale server, storage center, ecc.); la protezione delle reti aziendali e delle informazioni che viaggiano su reti pubbliche o di terze parti; la protezione dall accesso non autorizzato a sistemi informativi e alle diverse applicazioni; la protezione dei dati aziendali sensibili/personali o regolati da normative specifiche; la sicurezza applicativa (protezione da errori volontari o involontari all interno delle applicazioni); la protezione da errori involontari o volontari (comportamento non etico) dei dipendenti. Già da questo breve elenco si nota il legame tra sicurezza informatica e gli altri domini della sicurezza (sicurezza fisica, sicurezza logica, sicurezza organizzativa, privacy, ecc.), a testimonianza della pervasività e trasversalità di tale concetto. Non molti anni fa la gestione dell ICT Security era vista principalmente come un attività molto specifica, di carattere esclusivamente tecnologico, e pertanto era spesso confinata in qualche unità all interno della Direzione ICT. In pochi anni, però, la situazione è radicalmente cambiata a seguito della spinta di diversi driver: la crescente consapevolezza circa l impossibilità, da parte delle sole soluzioni tecnologiche, di garantire l efficacia dei sistemi preposti alla sicurezza informatica, qualora non integrate da opportune misure di tipo organizzativo; la progressiva digitalizzazione dei processi, che, unitamente all utilizzo sempre più diffuso di Internet nell ambito delle attività di business e alla crescente mobilità dei dipendenti, ha reso l Information Security sempre più pervasiva e ha notevolmente aumentato i fattori di rischio cui sono soggette le imprese; la continua escalation degli attacchi, dovuta al progressivo innalzamento del livello di abilità di chi, per i motivi e con le tecniche più svariate, intende attentare al patrimonio informativo delle aziende. Per questo motivo le imprese e i fornitori di soluzioni sono costretti a un continuo inseguimento ; lo sviluppo delle teorie di management legate alla gestione integrata del rischio d impresa (note con il termine Enterprise Risk Management, ERM), nonché il peso crescente delle normative e degli standard, che ha portato in taluni casi all introduzione 13
15 Capitolo 1 La rilevanza dell ICT Security di vere e proprie unità organizzative dedicate alla compliance, comportano delle potenziali aree di sovrapposizione e/o di integrazione con la sicurezza, in primis l Information/ICT Security, e che, se non ben gestite, possono portare a conflitti e a inefficienze organizzative; la diffusione dell idea che la sicurezza possa essere vista come una leva strategica di business, ovvero come un fattore di differenziazione per incrementare il livello di competitività. Di conseguenza, l interesse da parte delle unità di corporate/business strategy e del management a capo delle diverse aree di business è cresciuto notevolmente. Da queste considerazioni emerge chiaramente la rilevanza strategica dell ICT Security, che pertanto è necessario dotare di strumenti e risorse tali da consentirle di dialogare con il resto dell organizzazione ai livelli che le competono e con il linguaggio corretto. In sintesi, si tratta di inquadrare l ICT Security nell ambito della governance complessiva dell impresa, attribuendole la giusta importanza e garantendo il corretto livello di integrazione con le altre aree. La governance strategica dell ICT Security Nella Ricerca si è preferito usare il termine governance strategica dell ICT Security per accentuare la distinzione dalla governance operativa, che si occupa sostanzialmente delle soluzioni organizzative necessarie per il corretto funzionamento nell operatività quotidiana. La governance strategica dell ICT Security dovrebbe prevedere: una strategia di ICT Security ben definita e collegata agli obiettivi di business, nonché a quelli dell ICT; una struttura organizzativa congruente con gli obiettivi, la tipologia di attività e il carico di lavoro previsto; sistemi di pianificazione adeguati; metodologie di Risk Analysis/Management appropriate; policy di alto livello ben strutturate, che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente l ICT Security; processi di monitoraggio e controllo che assicurino feed-back tempestivi sullo stato di implementazione dei programmi e sulla loro efficacia, in modo da consentire di attuare le opportune manovre correttive in itinere, qualora necessario; sistemi di apprendimento (knowledge management) che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure e, quindi, una costante riduzione del livello di rischio complessivo, nell ottica del continuous improvement. Come si è visto nel paragrafo precedente, la governance strategica dell ICT Security non può essere vista disgiuntamente dalla governance complessiva dell impresa. Possono essere individuate tre dimensioni fondamentali dell ICT Security governance, e precisamente (Figura 1.1): l organizzazione, intesa nell accezione di configurazione macro-organizzativa che consenta di mettere in atto i programmi strategici e di gestire l operatività, nonché le modalità di definizione e aggiornamento delle politiche, le modalità di gestione dei progetti, la definizione del processo di miglioramento continuo; i processi di pianificazione e controllo; le risorse, le competenze e la cultura, che agisce sugli input e, in particolare, sulle risorse umane, sulle loro competenze, sul loro sistema di valori, nonché sulla cultura organizzativa in generale. Nel corso del primo anno di attività dell Osservatorio, l attenzione si era focalizzata sulle prime due dimensioni, di cui, di seguito, verranno brevemente illustrati più in dettaglio gli elementi costituenti. 14
16 La rilevanza dell ICT Security Capitolo 1 Corporate Governance ICT Governance Figura 1.1 L ICT Security governance ICT Security Governance Organizzazione Processi di pianificazione e controllo Risorse, Competenze e Cultura Gli aspetti organizzativi Gli elementi descrittivi fondamentali che hanno avuto un approfondimento specifico sono i seguenti: la presenza di una o più unità organizzative dedicate all ICT Security, la dimensione in termini di full time equivalent allocati e la posizione all interno della macrostruttura organizzativa. A questo proposito, va sottolineato che non sempre esiste una struttura dedicata all ICT Security. In questo caso, è opportuno capire chi è e a chi risponde il responsabile dell ICT Security in azienda, e a quali unità/sottounità sono demandate le diverse attività; nel caso di più unità organizzative, la distribuzione delle responsabilità sulle diverse macro-aree di attività riconducibili all ICT Security tra le diverse unità. Nella scelta della configurazione è necessario fare attenzione ad alcuni principi fondamentali, primo fra tutti quello noto come segregation of duties. E chiaro, tuttavia, che tale scelta può essere influenzata da diversi fattori (dimensione, settore di attività, ecc.); la strutturazione interna della/e unità organizzative dedicate all ICT Security. La Ricerca ha preso in esame anche i percorsi evolutivi di tali configurazioni organizzative (come in tutte le aree, anche in quest ambito i modelli organizzativi adottati dalle aziende sono spesso soggetti a cambiamenti) e analizzato la presenza di trend, sia in termini di percorsi convergenti verso alcune configurazioni organizzative emergenti, sia in termini di dimensionamento delle unità organizzative. La pianificazione strategica Per assicurare l allineamento tra gli obiettivi strategici di business e quelli dell ICT Security è fondamentale pensare congiuntamente il processo di pianificazione e controllo dell ICT Security e quello complessivo dell impresa. Gli input che portano alla definizione del piano strategico possono provenire dall interno o dall esterno dell azienda. Tra i principali ricordiamo: la compliance alle normative (in particolare, in Italia abbiamo: la legge sulla privacy n. 196/2003; il Dlgs n. 231/2001 sulla responsabilità amministrativa delle persone giuridiche; la legge n. 262 del 2005 sulla tutela del risparmio e la disciplina dei mercati finanziari; legislazione a tutela del copyright in relazione alle licenze dei programmi software fino a qualunque contenuto digitale protetto); i risultati degli audit interni, realizzati da ICT, Corporate Security, ICT Security, Internal Audit, ed esterni, realizzati da società di revisione, organismi di controllo, enti di certificazione, ecc.; le nuove soluzioni proposte dai player del mercato; le sollecitazioni da parte delle Business Unit per l introduzione di nuove soluzioni di sicurezza; 15
17 Capitolo 1 La rilevanza dell ICT Security lo scouting e la ricerca di soluzioni innovative interne effettuati dall unità ICT Security. Proprio per questo motivo le unità organizzative coinvolte nell identificazione delle iniziative di ICT Security dovrebbero essere numerose. Oltre all unità di ICT Security, infatti, potrebbero essere chiamate a fornire il loro contributo anche: ICT (o gli altri dipartimenti dell ICT, diversi dall ICT Security, qualora quest ultima sia posizionata all interno della Direzione ICT); Corporate Security; Internal Audit; Organizzazione e Risorse Umane; Line of Business; Enterprise Risk Management (se esistente); Compliance (se esistente); Legal. Per garantire il pieno successo delle iniziative pianificate è opportuno ricorrere ad approcci strutturati di Risk Analysis/Risk Management, come vedremo nel dettaglio nel Capitolo 2. A valle del piano strategico si definisce il budget corrispondente, distinto tra progetti di investimento e spese correnti. Spesso però la quantificazione delle necessità finanziarie dell ICT Security non è di facile individuazione, a causa della definizione degli ambiti di responsabilità o delle caratteristiche legate al business o alle scelte gestionali. Successivamente è fondamentale ricorrere a sistemi di misura delle prestazioni, per garantire l attuazione della strategia d impresa. Proprio per questo è interessante analizzare se ci siano all interno delle imprese sistemi di misurazione delle prestazioni specifici per l ICT Security, o se siano comunque presenti Key Performance Indicator (KPI) legati all ICT Security all interno di sistemi più ampi. Un altro fattore fondamentale che è stato indagato sono i fattori critici di successo riguardanti i progetti legati all ICT Security. Tra questi troviamo: il commitment del Top Management, che rappresenta un elemento fondamentale, se non decisivo, per il successo delle iniziative; il coinvolgimento da parte delle unità interessate nell identificazione dei bisogni e nella pianificazione della soluzione; il coinvolgimento degli utenti fin dalla fase di design della soluzione; la scelta del prodotto; la scelta del fornitore di servizi. Il punto di vista dei Chief Information Officer Per l edizione 2009, si è deciso di dedicare una prima parte della Ricerca ad approfondire e/o aggiornare alcuni dei risultati emersi dalla Ricerca dell anno precedente. I dati raccolti e di seguito illustrati sono rappresentativi del contributo di 105 Chief Information Officer (CIO) dei diversi settori dell economia e toccano tematiche organizzative, progettuali e di processo. Gli aspetti organizzativi La prima domanda rivolta ai CIO riguardava la presenza o meno di un responsabile ICT Security all interno della Direzione ICT. Dalle risposte emerge che nel 72% delle imprese è presente un responsabile dedicato all ICT Security e questi è collocato all interno della Direzione ICT. In particolare, nel 51% dei casi il responsabile riporta direttamente al CIO (a testimonianza dell importanza strategica attribuita alla sicurezza informatica), mentre nel 21% dei casi si tratta di un secondo riporto. Il 9% dei CIO, invece, dichiara l esistenza di un responsabile dedicato collocato al di fuori della Direzione ICT. 16
18 La rilevanza dell ICT Security Capitolo 1 Ne consegue che nel 19% delle imprese rispondenti tale responsabile non è al momento presente: in particolare, va sottolineato che il 7% delle aziende pensa di introdurre a breve tale figura, mentre nel 12% dei casi questa innovazione organizzativa non è ancora prevista (Figura 1.2). Figura 1.2 risposta E 12% risposta D 7% risposta C 9% 51% risposta A A. Esiste un responsabile specifico all interno della Direzione ICT e riporta al CIO B. Esiste un responsabile specifico all interno della Direzione ICT ma non riporta al CIO C. Esiste un responsabile specifico all interno di un altra unità organizzativa D. No ma sarà introdotto a breve La presenza e il posizionamento del responsabile dell ICT Security all interno dell organigramma aziendale E. No risposta B 21% Il dato successivo riguarda il dimensionamento dell unità di ICT Security, laddove esistente. Dalle risposte si evince che complessivamente nel 61% dei casi vi è una sola persona, perlomeno all interno dell ICT, che si occupa di ICT Security (Figura 1.3). Nel 22% le risorse dedicate crescono e si collocano nell intervallo da 2 a 5. Da sottolineare, all estremo opposto, che il 14% dei CIO ha dichiarato che la struttura di ICT Security supera le 10 unità. A questo riguardo, vanno fatte due considerazioni: esiste una correlazione positiva tra dimensione dell unità ICT e dimensione dell impresa. Tuttavia, tale correlazione è vera solamente nei settori ICT e Telecomunicazioni, Banking e Utility, mentre non sembra essere altrettanto evidente in altre industry; il dato sul dimensionamento dell unità ICT Security in alcuni casi è di non facile lettura, in quanto influenzato fortemente dalle politiche di insourcing/outsourcing dell impresa. Figura 1.3 risposta E 14% A. 1-2 persona/e half-time B. 1 persona full-time C. Da 2 a 5 persone Il dimensionamento dell unità ICT Security risposta D 3% 49% risposta A D. Da 6 a 10 persone E. Più di 10 persone risposta C 22% risposta B 12% L ultima domanda relativa a questa sezione era tesa a verificare la stabilità della configurazione organizzativa, coerentemente con l obiettivo di monitorare il grado di maturità raggiunto, nonché l esistenza di eventuali trend, come indicato precedentemente. In questo senso, i risultati evidenziano un altro dato importante: oltre la metà dei rispondenti ha dichiarato di aver apportato o di voler apportare nel breve termine cambiamenti all organizzazione delle attività di ICT Security: in particolare, il 3 dei modelli organizzativi dell ICT Security delle imprese rispondenti ha subito modifiche nell ultimo anno e il 23% sarà passibile di cambiamenti nel corso dei prossimi 12 mesi (Figura 1.4). 17
19 Capitolo 1 La rilevanza dell ICT Security Figura 1.4 La stabilità del modello organizzativo inerente l ICT Security risposta C 3 47% risposta A A. È stabile e al momento non sono previste modifiche B. Sarà oggetto di modifiche nel corso del prossimo anno C. È stato modificato nell ultimo anno risposta B 23% La pianificazione strategica Nella seconda sezione della Survey rivolta ai CIO ci si è focalizzati sui seguenti aspetti legati alla strutturazione dei processi di pianificazione e controllo delle attività di ICT Security: le principali fonti di input per la pianificazione delle attività di ICT Security; il grado di coinvolgimento delle altre unità organizzative nella fase di definizione del piano di ICT Security; la presenza e il livello di comprensività del piano strategico di ICT Security, che dovrebbe includere gli obiettivi, i piani d azione e i progetti ad essi connessi in un orizzonte temporale pluriennale; l intensità del ricorso ad attività di Risk Analysis per l individuazione delle priorità d intervento e quindi per la costruzione del piano strategico; il budget allocato all ICT Security e il relativo trend; l esistenza di sistemi di monitoraggio delle prestazioni di tipo direzionale o strategico, volti a misurare l efficacia dell Information Security Management System e a evidenziare eventuali aree di criticità e di miglioramento; i fattori critici di successo dei progetti di ICT Security. Con riferimento al primo punto, dalla Figura 1.5 si evince come la compliance alla normativa (4) e i risultati degli audit interni o esterni (32%) siano le due maggiori determinanti delle iniziative. Complessivamente, quindi, il 72% degli input deriva dalla necessità di adeguamento a nuove leggi e/o da non conformità a standard, policy e/o normative già vigenti. Non va comunque trascurato il 12% di imprese che dichiarano di ricevere input anche dalle aree di business, a riprova di un crescente coinvolgimento di queste ultime nelle attività legate alla sicurezza ICT. L 11% raggiunto dallo scouting e dalla ricerca di soluzioni innovative da parte degli specialisti di ICT Security interni conferma che l innovazione tecnologica esercita un ruolo importante, ma probabilmente non fondamentale. Rilevanza ancora minore viene, infine, attribuita ai provider di prodotti e servizi ICT, che i CIO hanno dichiarato incidere solo per il 5%. Figura 1.5 Gli input per l individuazione delle iniziative di sicurezza ICT risposta E 11% risposta D 5% risposta C 12% 4 risposta A A. La compliance alle normative (privacy, 231, 262, ecc.) B. Gli audit interni/esterni C. Le ricerche dirette delle Business Unit D. Sollecitazioni da parte dei fornitori di prodotti/servizi E. Scouting e ricerca di soluzioni innovative interne risposta B 32% 18
20 La rilevanza dell ICT Security Capitolo 1 Si è quindi chiesto quali siano le funzioni/unità organizzative più attive nell individuazione delle iniziative di ICT Security (Figura 1.6). Il ruolo principale spetta all ICT con il 36%, seguita dall Internal Audit con il 24%, e dalla Corporate Security che si attesta al 18%. Meno influenti sono la Direzione Organizzazione all 8%, le Line of Business al 7% e la Direzione Risorse Umane al 7%. risposta F 7% risposta E 7% risposta D 8% 36% risposta A A. ICT B. Corporate Security (o Direzione equivalente) C. Internal Audit D. Organizzazione E. Risorse Umane F. Line of Business Figura 1.6 Le unità organizzative maggiormente coinvolte nell individuazione delle iniziative di ICT Security risposta C 24% 18% risposta B Incrociando le risposte a questa domanda con quelle ottenute al punto precedente è possibile concludere che, qualsiasi sia la fonte originaria del problema di sicurezza ICT, nell individuazione delle contromisure il ruolo principale è esercitato dalla Direzione ICT (il che è piuttosto plausibile, visto che alcuni degli audit sono di natura tecnologica si veda per esempio i vulnerability assessment o gli ethical hacking). Tuttavia, emerge il ruolo importante della Corporate Security, spesso in quanto tale unità si occupa proprio degli aspetti di governance della security, e dell internal Audit, coinvolto massicciamente per gli aspetti legati a compliance a normative già in essere o nuove e ai vari standard quali ad esempio ISO17799, ISO27001, SOX, ecc. Il punto successivo riguardava la formalizzazione del processo di pianificazione strategica delle iniziative in ambito ICT Security. Come si può notare in Figura 1.7, le risposte si sono divise piuttosto equamente: il 36% delle imprese rispondenti prevede un processo formale di pianificazione che copre tutti gli aspetti legati all ICT Security. Il 34% attiva invece il processo di pianificazione solo in concomitanza all avvio di grandi progetti o in caso di promulgazione di nuove normative con forte impatto sulla sicurezza ICT; in ultimo, il 3 dei CIO dichiara che non esiste in azienda un Master Plan ICT che riguardi l ICT Security. Figura 1.7 Il ricorso a un processo formale di pianificazione strategica delle iniziative in ambito ICT Security (Master Plan ICT/Information Security) risposta C 3 36% risposta A A. Sì e copre tutti gli aspetti legati all ICT Security B. Sì ma è parziale (solo per grandi progetti/in caso di rilevanti cambiamenti della normativa ecc.) C. No risposta B 34% 19
21 Capitolo 1 La rilevanza dell ICT Security I risultati ottenuti su questo aspetto non sono proprio esaltanti. L assenza di un momento di formalizzazione e condivisione di un piano integrato e omnicomprensivo rappresenta un elemento di debolezza, che rischia di riflettersi anche sull entità del budget, oltre che sul corretto dimensionamento delle unità organizzative e, quindi, sulla successiva gestione efficiente delle attività. In Figura 1.8 sono invece riportate le risposte dei CIO relativamente al ricorso ad approcci di Risk Analysis per l individuazione delle aree di criticità e, quindi, delle iniziative da includere nel piano strategico di ICT Security. Dai dati emerge che l 82% dei CIO ricorre a metodologie di Risk Analysis; tuttavia, solo il 16% le utilizza sistematicamente (in modo strettamente strumentale all elaborazione del piano di security o anche nell ambito di altre analisi periodiche), mentre ben il 66% delle Direzioni ICT si avvicina in modo episodico, o comunque non sistematico. Figura 1.8 Il ricorso ad approcci strutturati di Risk Analysis/Risk Management per la definizione delle iniziative risposta D 18% 16% risposta A A. Sì, sistematicamente nell ambito del processo di definizione dell ICT Security Master Plan B. Sì, periodicamente ma non o non solamente in concomitanza con l elaborazione dell ICT Security Master Plan C. Sì, ma non in modo sistematico D. No 22% risposta B risposta C 44% La domanda successiva era volta ad analizzare l entità del budget dedicato alle attività di ICT Security. Considerato il ruolo ricoperto dai destinatari della Survey, si è deciso di chiedere una quantificazione in termini relativi, in particolare rispetto al totale del budget ICT. E opportuno però sottolineare che: il budget ICT Security gestito dall ICT non è rappresentativo della spesa complessiva in sicurezza informatica, in quanto alcuni progetti che prevedono importanti attività di sicurezza ICT sono in capo ad altre unità organizzative (Corporate Security, Organizzazione, Risorse Umane tra le principali); pur rimanendo all interno dei confini della Direzione ICT, non è sempre facile individuare tutti i costi riconducibili alla sicurezza ICT, in quanto alcuni sono annegati all interno di altri dipartimenti ICT (si pensi, ad esempio, alla determinazione e alla verifica di sicurezza nello sviluppo applicativo). Figura 1.9 La percentuale del budget di ICT Security in relazione al budget complessivo ICT risposta C risposta D 22% 3% 18% risposta A A. Minore di 1% B. Tra 1% e 5% C. Tra 5% e 1 D. Maggiore del 1 57% risposta B 20
22 La rilevanza dell ICT Security Capitolo 1 In ogni caso, nella maggioranza dei casi (il 57%) il valore dichiarato dai CIO rispondenti è compreso nel range tra 1% e 5% del budget ICT complessivo (Figura 1.9). Il 22% dei CIO asserisce che il budget ICT Security si assesta in un valore compreso tra il 5% e il 1, mentre il 3% rivela che la strategicità dell ICT Security porta l azienda a stanziare un budget annuale che supera il 1 del budget complessivo ICT. All estremo opposto, solo il 18% degli intervistati dichiara un budget ICT Security minore dell 1% del budget ICT. Inoltre, il 48% dei CIO dichiara un trend in crescita dello spending in ICT Security, mentre nei restanti casi non si registrano variazioni rilevanti (Figura 1.10). È importante sottolineare, comunque, che solo il 6% delle imprese rispondenti ha dichiarato un trend in calo, a conferma del fatto che, nonostante l attuale momento di significativa recessione economica e le conseguenti difficoltà incontrate da molte imprese, l attenzione sul tema della sicurezza rimane sempre elevato. Figura 1.10 I trend del budget di ICT Security risposta C 6% A. In crescita B. Stazionaria C. In calo 48% risposta A risposta B 46% Per quanto riguarda la formalizzazione dei sistemi di misurazione delle prestazioni specifici per l area ICT Security, i risultati non sono particolarmente entusiasmanti: come riportato in Figura 1.11, infatti, sistemi di misurazione sviluppati ad hoc per l area ICT Security sono infatti presenti solo nel 25% dei casi, mentre per un altro 22% dei casi alcuni KPI relativi all ICT Security sono inclusi in sistemi di misurazione a più ampio spettro, quali quelli della Direzione ICT. Ben il 53% delle aziende, invece, non ha al momento implementato sistemi di rilevazione delle performance in quest ambito. Figura 1.11 La diffusione dei sistemi di misurazione delle prestazioni specifici per l ICT Security risposta C 53% 25% risposta A A. Sì B. No, ma alcuni indicatori sono inclusi nel/i sistema/i di misurazione delle prestazioni di altre unità (ICT Corporate Security ecc.) C. No, non esistono KPI di questo tipo al momento in azienda 22% risposta B L ultimo quesito riguardava i fattori critici di successo (figura 1.12) di progetti legati all ICT Security. Si nota come la sensibilizzazione degli utenti e il commitment del Top Management raggiungano, insieme, il 65%. Un altro fattore critico di successo considerato dal 25% dei CIO è il coinvolgimento delle unità interessate nell identificazione dei bisogni e nella pianificazione delle soluzioni, mentre il restante 1 si divide tra la scelta del prodotto e la scelta del fornitore di servizi. 21
1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliAssociazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane
Associazione Italiana Corporate & Investment Banking 02.36531506 www.aicib.it aicib@unicatt.it Presentazione Ricerca Il risk management nelle imprese italiane AICIB Associazione Italiana Corporate & Investment
DettagliCOMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)
COMUNE DI RAVENNA Il sistema di valutazione delle posizioni del personale dirigente GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI) Ravenna, Settembre 2004 SCHEMA DI SINTESI PER LA
DettagliSURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI
ANALISI SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI Descrizione dell indagine e del panel utilizzato L associazione itsmf Italia
DettagliBusiness Process Management
Business Process Management Comprendere, gestire, organizzare e migliorare i processi di business Caso di studio a cura della dott. Danzi Francesca e della prof. Cecilia Rossignoli 1 Business process Un
DettagliGestire il rischio di processo: una possibile leva di rilancio del modello di business
Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura
DettagliIndice. pagina 2 di 10
LEZIONE PROGETTAZIONE ORGANIZZATIVA DOTT.SSA ROSAMARIA D AMORE Indice PROGETTAZIONE ORGANIZZATIVA---------------------------------------------------------------------------------------- 3 LA STRUTTURA
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliModello dei controlli di secondo e terzo livello
Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliIL SISTEMA DI CONTROLLO INTERNO
http://www.sinedi.com ARTICOLO 27 OTTOBRE 2008 IL SISTEMA DI CONTROLLO INTERNO PRODUZIONE DI VALORE E RISCHIO D IMPRESA Nel corso del tempo, ogni azienda deve gestire un adeguato portafoglio di strumenti
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliCittà di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE
Città di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE Allegato Delibera Giunta Comunale n. 110 del 19 maggio 2014 1) Caratteristiche generali del sistema
DettagliLe effettive esigenze della Direzione del Personale nella gestione delle risorse umane in azienda. Andamento dal 2005 ad oggi
Le effettive esigenze della Direzione del Personale nella gestione delle risorse umane in azienda. Andamento dal 2005 ad oggi Indagine ottenuta grazie alla somministrazione di questionario ad oltre 260
DettagliREALIZZARE UN BUSINESS PLAN
Idee e metodologie per la direzione d impresa Ottobre 2003 Inserto di Missione Impresa dedicato allo sviluppo pratico di progetti finalizzati ad aumentare la competitività delle imprese. REALIZZARE UN
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliCircolare n.11 /2010 del 23 dicembre 2010* RISCHIO DA STRESS LAVORO-CORRELATO: ENTRO IL 31.12.2010 E SUFFICIENTE AVVIARE LE ATTIVITA DI VALUTAZIONE
Circolare n.11 /2010 del 23 dicembre 2010* RISCHIO DA STRESS LAVORO-CORRELATO: ENTRO IL 31.12.2010 E SUFFICIENTE AVVIARE LE ATTIVITA DI VALUTAZIONE L art. 28 del D.Lgs. n. 81/2008 sulla sicurezza e salute
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliNOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013
NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 E stato introdotto nell ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E contenuto nella
DettagliSVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007
Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,
Dettagli16 Rapporto Nazionale sulla Formazione Indagine su Comuni e Province. Nicoletta Bevilacqua Responsabile Ufficio Monitoraggio e ricerca FormezPA
16 Rapporto Nazionale sulla Formazione Indagine su Comuni e Province Nicoletta Bevilacqua Responsabile Ufficio Monitoraggio e ricerca FormezPA Obiettivi della presentazione Illustrare i principali risultati
DettagliMASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE
OFFERTA FORMATIVA Titolo: MASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE Padova, Roma e Bologna. Destinatari: Il Master si rivolge a laureati, preferibilmente in discipline economiche,
DettagliOsservatorio ISTUD - seconda Survey: Aziende italiane e mercato unico europeo
- seconda Survey: Aziende italiane e mercato unico europeo Quesito 1 In linea generale ritieni positiva la tendenza di molti paesi europei a cercare di proteggere alcuni settori ritenuti strategici per
DettagliMANDATO INTERNAL AUDIT
INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l
DettagliComune di San Martino Buon Albergo
Comune di San Martino Buon Albergo Provincia di Verona - C.A.P. 37036 SISTEMA DI VALUTAZIONE DELLE POSIZIONI DIRIGENZIALI Approvato dalla Giunta Comunale il 31.07.2012 INDICE PREMESSA A) LA VALUTAZIONE
DettagliPROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ
PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ SERVIZI DI PROJECT MANAGEMENT CENTRATE I VOSTRI OBIETTIVI LA MISSIONE In qualità di clienti Rockwell Automation, potete contare
Dettagli03. Il Modello Gestionale per Processi
03. Il Modello Gestionale per Processi Gli aspetti strutturali (vale a dire l organigramma e la descrizione delle funzioni, ruoli e responsabilità) da soli non bastano per gestire la performance; l organigramma
DettagliIl Risk Management Integrato in eni
Il Risk Integrato in eni Maria Clotilde Tondini Vice President Risk Integrato 5 Marzo 015, Milano Indice - Il Modello eni - 1 Il Modello eni Le fasi di sviluppo L avvio e l attuazione del Modello di Risk
DettagliAlla c.a. Sindaco/Presidente Segretario Generale Dirigente competente
Alla c.a. Sindaco/Presidente Segretario Generale Dirigente competente Controllo di Gestione e Misurazione delle Performance: l integrazione delle competenze, la valorizzazione delle differenze e la tecnologia
DettagliI SISTEMI DI GESTIONE DELLA SICUREZZA
I SISTEMI DI GESTIONE DELLA SICUREZZA ing. Davide Musiani Modena- Mercoledì 8 Ottobre 2008 L art. 30 del D.Lgs 81/08 suggerisce due modelli organizzativi e di controllo considerati idonei ad avere efficacia
DettagliMONITORAGGIO SULL AVVIO DEL CICLO DI GESTIONE DELLA PERFORMANCE 2013 DELL ISTITUTO NAZIONALE DELLA PREVIDENZA SOCIALE
Istituto Nazionale Previdenza Sociale MONITORAGGIO SULL AVVIO DEL CICLO DI GESTIONE DELLA PERFORMANCE 2013 DELL ISTITUTO NAZIONALE DELLA PREVIDENZA SOCIALE ORGANISMO INDIPENDENTE DI VALUTAZIONE 1 INDICE
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliVigilanza bancaria e finanziaria
Vigilanza bancaria e finanziaria DISPOSIZIONI DI VIGILANZA IN MATERIA DI POTERI DI DIREZIONE E COORDINAMENTO DELLA CAPOGRUPPO DI UN GRUPPO BANCARIO NEI CONFRONTI DELLE SOCIETÀ DI GESTIONE DEL RISPARMIO
DettagliL internal auditing nell Agenzia delle Entrate: una realtà in evoluzione. Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza
L internal auditing nell Agenzia delle Entrate: una realtà in evoluzione Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza Forum P.A. 24 maggio 2007 Missione e Organizzazione Le competenze
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliDirezione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE
IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata
DettagliPOLITICA DI COESIONE 2014-2020
INVESTIMENTO TERRITORIALE INTEGRATO POLITICA DI COESIONE 2014-2020 A dicembre 2013, il Consiglio dell Unione europea ha formalmente adottato le nuove normative e le leggi che regolano il ciclo successivo
DettagliCRITICITA, PRIORITA E PUNTI DI FORZA NELL AVVIO DELLA GESTIONE ASSOCIATA DEL PERSONALE a cura di Andrea Pellegrino
CRITICITA, PRIORITA E PUNTI DI FORZA NELL AVVIO DELLA GESTIONE ASSOCIATA DEL PERSONALE a cura di Andrea Pellegrino In un contesto normativo e sociale caratterizzato da una costante evoluzione, al Comune,
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliNorme per l organizzazione - ISO serie 9000
Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al
DettagliL infermiere al Controllo di Gestione
L infermiere al Controllo di Gestione Una definizione da manuale del Controllo di gestione, lo delinea come l insieme delle attività attraverso le quali i manager guidano il processo di allocazione e di
DettagliSOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras
SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.
DettagliSISTEMA DEI CONTROLLI INTERNI
( BY INTERNAL AUDITING FACTORIT SPA ) SISTEMA DEI CONTROLLI INTERNI L azienda Factorit ha da qualche anno costituito una funzione di presidio del monitoraggio dei rischi aziendali strettamente connessi
DettagliL Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012
L Azienda Digitale Viaggio nell'italia che compete Executive Summary Novembre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Verona NetConsulting 2012 1
DettagliIstituto Comprensivo di Positano e Praiano C.A.F. 2014
ARTICOLAZIONE DEL PERCORSO CAF E TEMPI Avvio attività processo AV Processo AV Predisposizione Piano di miglioramento Periodo di riferimento 8 mesi GLI STEP DEL VIAGGIO CAF FASI PROCESSO AUTOVALUTAZIONE
DettagliMODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.
ALLEGATO A MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. il sistema organizzativo che governa le modalità di erogazione delle cure non è ancora rivolto al controllo in modo sistemico
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
Dettagli1 La politica aziendale
1 La Direzione Aziendale dell Impresa Pizzarotti & C. S.p.A. al livello più elevato promuove la cultura della Qualità, poiché crede che la qualità delle realizzazioni dell Impresa sia raggiungibile solo
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliREGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI
COMUNE DI VIANO PROVINCIA DI REGGIO EMILIA REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI Approvato con deliberazione di G.C. n. 73 del 28.11.2000 INDICE TITOLO 1 ART. 1 ART. 2 ART. 3 ART. 4 ART. 5 ART.
DettagliProgetto Atipico. Partners
Progetto Atipico Partners Imprese Arancia-ICT Arancia-ICT è una giovane società che nasce nel 2007 grazie ad un gruppo di professionisti che ha voluto capitalizzare le competenze multidisciplinari acquisite
DettagliUTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI
UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI Un utilizzatore a valle di sostanze chimiche dovrebbe informare i propri fornitori riguardo al suo utilizzo delle sostanze (come tali o all
DettagliSintesi dei risultati
Sintesi dei risultati La ricerca commissionata dal Dipartimento della Funzione pubblica e realizzata da Datamedia si compone di due sezioni: a una prima parte indirizzata, tramite questionario postale,
DettagliDELIBERAZIONE N. 30/7 DEL 29.7.2014
Oggetto: Assegnazione all Azienda ASL n. 8 di Cagliari dell espletamento della procedura per l affidamento del servizio di realizzazione del sistema informatico per la gestione dell accreditamento dei
DettagliABI Energia Competence Center ABI Lab su energia e ambiente. Gli ambiti di ricerca in ABI Energia
ABI Energia Competence Center ABI Lab su energia e ambiente Gli ambiti di ricerca in ABI Energia Gli ambiti di ricerca su energia e ambiente in ABI Lab ABI Energia, Competence Center sull energia e l ambiente
DettagliPIANIFICAZIONE DELLA FORMAZIONE: processi, attori e strumenti
PIANIFICAZIONE DELLA FORMAZIONE: processi, attori e strumenti Dott.ssa Patrizia Castelli Premessa: Il processo di pianificazione della formazione nasce dall esigenza di sviluppare le competenze e le conoscenze
DettagliINTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.
Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA
DettagliPROGETTO CITTADINANZA E COSTITUZIONE
PROGETTO CITTADINANZA E COSTITUZIONE SICUREZZA E RISPETTO DELLE REGOLE FINALITA e OBIETTIVI DEL PROGETTO Le direttive comunitarie in tema di salute e sicurezza sul luogo di lavoro sottolineano la necessità
DettagliAndrea Petromilli Ordine degli Psicologi del Veneto. andrea.petromilli@psyveneto.it
L Ordine degli Psicologi del Veneto ed il processo di valutazione del rischio stress nella prospettiva delle azioni di miglioramento e lo sviluppo del benessere organizzativo. Andrea Petromilli Ordine
DettagliCorso di Qualificazione per. Auditor Interni. dei. Sistemi di Gestione per la Qualità UNI EN ISO 9001:2008 PROGRAMMA DEL CORSO 24 ORE
Corso di Qualificazione per Auditor Interni dei Sistemi di Gestione per la Qualità UNI EN ISO 9001:2008 PROGRAMMA DEL CORSO 24 ORE Responsabile del progetto formativo: Dott. Ing. Antonio Razionale Tutor:
DettagliSISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE (SMIVAP)
SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE (SMIVAP) PREMESSA Il Sistema di Misurazione e Valutazione della Performance, per il seguito anche SMIVAP, è improntato all applicazione delle disposizioni
DettagliOsservatorio Solvency II Operational Transformation
Divisione Ricerche Claudio Dematté Osservatorio Solvency II Operational Transformation Comply or Explain La Road Map verso Solvency II in Italia Maria Alejandra Guglielmetti 30.01.2014 Comply or Explain?
DettagliPiano delle Performance
Comune di Pavullo nel Frignano Provincia di Modena Bilancio di Previsione 2011 Bilancio Pluriennale 2011 / 2013 Piano delle Performance *** Documento sulla compatibilità del sistema di programmazione,
DettagliCORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES
1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire
DettagliDai sistemi documentari al knowledge management: un'opportunità per la pubblica amministrazione
Dai sistemi documentari al knowledge management: un'opportunità per la pubblica amministrazione Reingegnerizzazione dei sistemi documentari e knowledge management Paola Montironi Quadro di riferimento
DettagliEsistono differenti tipologie di report aziendali, a seconda della funzione per cui sono redatti e dei soggetti a cui si rivolgono
REPORTING INTERNO: PREMESSE Esistono differenti tipologie di report aziendali, a seconda della funzione per cui sono redatti e dei soggetti a cui si rivolgono REPORT ISTITUZIONALI REPORT OPERATIVI REPORT
DettagliSTORE MANAGER.. LE COMPETENZE CARATTERISTICHE E I BISOGNI DI FORMAZIONE
STORE MANAGER.. LE COMPETENZE CARATTERISTICHE E I BISOGNI DI FORMAZIONE 1 Indice 1. Premessa 2. Obiettivo 3. Le competenze del profilo ideale Competenze 3.1. Età ed esperienza 3.2. Le reali competenze
DettagliEsternalizzazione della Funzione Compliance
Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale
DettagliLa riforma del servizio di distribuzione del
CReSV Via Röntgen, 1 Centro Ricerche su Sostenibilità e Valore 20136 Milano tel +39 025836.3626 La riforma del servizio di distribuzione del 2013 gas naturale In collaborazione con ASSOGAS Gli ambiti territoriali
DettagliMANAGEMENT DELLA SICUREZZA E GOVERNANCE PUBBLICA - MASGOP
MANAGEMENT DELLA SICUREZZA E GOVERNANCE PUBBLICA - MASGOP Master di I Livello - A.A. 2015/2016 Premessa Il tema dell innovazione della Pubblica amministrazione italiana richiede oggi, dopo anni di dibattito
DettagliL asset più importante, l investimento più remunerativo? La governance, è tempo di investire nel «governance budget»
Authorized and regulated by the Financial Services Authority L asset più importante, l investimento più remunerativo? La governance, è tempo di investire nel «governance budget» Il processo di investimento
DettagliDiventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.
ISO 9001 Con la sigla ISO 9001 si intende lo standard di riferimento internazionalmente riconosciuto per la Gestione della Qualità, che rappresenta quindi un precetto universale applicabile all interno
DettagliIL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE
IL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE Relatore: LIFE 04 ENV/IT/494 AGEMAS Obiettivi del sistema di gestione ambientale Prevenzione, riduzione dell inquinamento Eco-efficienza nella gestione delle
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliPolitecnico di Bari - Piano per la formazione del personale ai fini della prevenzione della corruzione (adottato ai sensi dell art. 1, co.
2014 Politecnico di Bari - Piano per la formazione del personale ai fini della prevenzione della corruzione (adottato ai sensi dell art. 1, co. 8, della L. n. 190/2012 ed approvato dal C.d.A. nella seduta
DettagliISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito
ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta
Dettagliairis consulting Via Domenichino, 19-20149 - Milano Tel: 02.43986313 - Fax: 02.43917414 e-mail: info@airisconsulting.it web: www.airisconsulting.
Via Domenichino, 19-20149 - Milano Tel: 02.43986313 - Fax: 02.43917414 e-mail: info@.it web: www..it Chi siamo AIRIS CONSULTING è una Società di Consulenza di Direzione nata per rispondere al bisogno delle
DettagliVALeS Valutazione e Sviluppo Scuola
Premessa VALeS Valutazione e Sviluppo Scuola progetto sperimentale per individuare criteri, strumenti e metodologie per la valutazione delle scuole e dei dirigenti scolastici Le precedenti sperimentazioni
DettagliProgetto BPR: Business Process Reengineering
Progetto BPR: Business Process Reengineering Riflessioni frutto di esperienze concrete PER LA CORRETTA INTERPRETAZIONE DELLE PAGINE SEGUENTI SI DEVE TENERE CONTO DI QUANTO ILLUSTRATO ORALMENTE Obiettivo
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliQUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE
QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE Step 1 - Decidere come organizzare e pianificare l autovalutazione (AV) 1.1. Assicurare l impegno e il governo del management per avviare il processo. 1.2. Assicurare
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliSistema di Gestione Integrata Qualità/Ambiente/Sicurezza Doc.3 Politiche aziendale. Qualità/Ambiente
Pag. 1 di 5 Qualità/Ambiente L azienda Di Leo Nobile S.p.A. è nata nel 1956 a Castel San Giorgio (Sa) ed è uno stabilimento di circa m² 16.591 di cui 10.000 m² coperti, nel quale è concentrata l attività
DettagliI Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001
I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001 Percorsi di ampliamento dei campi di applicazione gestiti in modo
DettagliLA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0 LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI PIANIFICAZIONE STRATEGICA NELL ELABORAZIONE
DettagliOrganizzazione e pianificazione delle attività di marketing
Organizzazione e pianificazione delle attività di marketing Il continuum delle strutture tra efficienza ed efficacia Struttura funzionale Struttura divisionale Struttura a matrice Struttura orizzontale
DettagliPiano di Sviluppo Competenze
Piano di Sviluppo Competenze La proprietà e i diritti d'autore di questo documento e dei suoi allegati appartengono a RES. Le informazioni in esso contenute sono strettamente confidenziali. Il documento,
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliINDICOD-ECR Istituto per le imprese di beni di consumo
INDICOD-ECR Istituto per le imprese di beni di consumo GLOBAL SCORECARD Uno strumento di autovalutazione, linguaggio e concetti comuni Versione base - Entry Level Introduzione Introduzione La Global Scorecard
Dettagli7.2 Indagine di Customer Satisfaction
7.2 Indagine di Customer Satisfaction Il campione L indagine è stata condotta su un campione a più stadi di 795 clienti TIEMME SpA (errore di campionamento +/ 2%) rappresentativo della popolazione obiettivo,
DettagliLA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING)
LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING) L IMPATTO SULLA GESTIONE LA MISURAZIONE DELL IMPATTO IL SUPPORTO ALLA CREAZIONE DEL VALORE L INTEGRAZIONE ESIGENZE DEL BUSINESS
DettagliAREA MODELLI ORGANIZZATIVI
MODELLI ORGANIZZATIVI 1. Crea il tuo sistema qualità 2. Dlgs 231 modello organizzativo come paracadute 3. Crea il tuo sistema privacy 4. Certificazione Etica SA8000 CREA IL TUO SISTEMA QUALITÀ Realizzare
DettagliBanche e Sicurezza 2015
Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso
DettagliProject Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale.
Project Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale. Il presente materiale didattico costituisce parte integrante del percorso formativo
DettagliFollia è fare quel che si è sempre fatto aspettandosi risultati diversi
I Sistemi di gestione Follia è fare quel che si è sempre fatto aspettandosi risultati diversi Jim Kearns Relatore: Sandro Vanin Qualita, Sicurezza, Ambiente Schemi di certificazione. ISO 9001, OHSAS 18001,
DettagliINTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA
INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA Fondato a New York nel 1941 Presente in 160 paesi, conta ora più di 110.000 membri Ha sede negli USA ma la sua Governance è Globale Globali sono pure il
DettagliCHI SIAMO. BeOn è una società di consulenza italiana ad alta specializzazione in ambito di valutazione, sviluppo e formazione delle risorse umane.
www.beon-dp.com Operiamo in ambito di: Sviluppo Assessment e development Center Valutazione e feedback a 360 Formazione Coaching CHI SIAMO BeOn è una società di consulenza italiana ad alta specializzazione
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliDM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI
DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI Articolo 1 (Campo di applicazione) Il presente decreto si
Dettagli